剣 KENSAI
← All posts · security · 2026-03-11

FortiGate凭证窃取、KadNap僵尸网络感染1.4万路由器、微软修补2个零日漏洞

← 返回博客

1. FortiGate防火墙被利用窃取AD凭证

🚨 严重 — 针对医疗和政府的活跃攻击活动

威胁行为者正在利用FortiGate下一代防火墙(NGFW)设备作为入口点入侵受害者网络。该活动针对医疗、政府和托管服务提供商环境,提取包含服务账户凭证和网络拓扑数据的配置文件。

据SentinelOne报告,攻击者利用最近披露的漏洞——CVE-2025-59718CVE-2025-59719CVE-2026-24858——或弱凭证来入侵FortiGate设备。由于这些设备通常连接到Active Directory和LDAP以执行基于角色的策略,被入侵的设备等于将整个认证基础设施的密钥交给了攻击者。

在一起记录的事件中,攻击者创建了一个名为"support"的恶意本地管理员账户,配置了四条宽松的防火墙策略,随后解密配置文件提取了明文LDAP服务账户凭证。他们随后在Active Directory中注册了恶意工作站,之后才被发现。

所需行动:立即将FortiGate设备更新到最新固件。轮换所有连接到FortiGate的服务账户凭证。在所有管理界面启用MFA。监控未授权的账户创建和防火墙策略变更。


2. KadNap僵尸网络劫持14,000+华硕路由器

🚨 严重 — 14,000+设备被入侵,60%位于美国

一种名为KadNap的新型恶意软件已感染超过14,000台边缘网络设备——主要是华硕路由器——为隐蔽代理僵尸网络提供动力。超过60%的受害者位于美国。

由Lumen的Black Lotus Labs发现,KadNap使用Kademlia分布式哈希表(DHT)协议的自定义版本,将其命令与控制基础设施隐藏在点对点网络中,使其具有极强的抗拆除能力。

被入侵的设备被纳入名为Doppelgänger的代理服务(Faceless代理网络的品牌重塑),该服务在50+国家销售"100%匿名"住宅代理。该恶意软件针对ARM和MIPS处理器,通过cron作业建立持久性,并主动关闭22端口的SSH访问以防止修复。

详情信息
感染设备14,000+
主要目标华硕路由器
美国受害者60%+
C2协议自定义Kademlia DHT(P2P)
代理服务Doppelgänger(Faceless品牌重塑)
活跃时间2025年8月至今

所需行动:立即更新华硕路由器固件。检查未授权的cron作业和未知进程。如已被入侵,恢复出厂设置。封锁已知C2 IP 212.104.141.140


3. 微软2026年3月补丁星期二:2个零日漏洞、79个缺陷

⚠️ 立即修补 — 2个已公开零日漏洞

微软2026年3月补丁星期二修复了79个安全缺陷,包括2个已公开披露的零日漏洞3个严重级别问题。两个严重的远程代码执行漏洞影响Microsoft Office,可通过预览窗格触发。

本月补丁周期的重点:

  • SQL Server特权提升零日:不当访问控制通过网络授予SQLAdmin特权
  • .NET拒绝服务零日:越界读取允许未授权的网络拒绝服务
  • CVE-2026-26110和CVE-2026-26113:可通过预览窗格利用的严重Office RCE漏洞
  • CVE-2026-26144:Excel信息泄露漏洞,可通过Microsoft Copilot导出数据——实现零点击AI代理数据窃取

Copilot相关漏洞(CVE-2026-26144)尤其值得关注——它代表了一种新的攻击向量,AI助手可以在没有用户交互的情况下被武器化以窃取数据。这预示着组织现在面临的AI攻击面。

所需行动:立即部署所有2026年3月补丁。由于预览窗格可被利用,优先更新Office。审查Copilot代理权限并限制网络出口能力。


4. BlackSanta EDR杀手针对人力资源部门

⚠️ 活跃攻击 — 俄语威胁行为者

一个运行超过一年的复杂攻击活动通过包含伪装成简历的恶意ISO文件的鱼叉式钓鱼邮件,向人力资源部门投递名为BlackSanta的新型EDR杀手。

攻击链具有高度逃避性:ISO文件包含伪装成PDF的Windows快捷方式、PowerShell脚本以及通过隐写术隐藏恶意代码的图像。提取的代码通过合法的SumatraPDF可执行文件进行DLL侧载,执行广泛的沙箱和虚拟机检测,然后部署BlackSanta。

BlackSanta系统性地禁用终端检测:

  • .dls.sys文件添加Microsoft Defender排除项
  • 减少向Microsoft云端的遥测和自动样本提交
  • 抑制Windows通知以避免提醒用户
  • 使用进程镂空在合法进程中执行有效载荷

所需行动:提醒HR团队注意简历主题的钓鱼攻击。在邮件网关封锁ISO文件附件。监控未授权的Defender排除变更。实施应用程序白名单。


5. HPE关键AOS-CX认证绕过

🚨 严重 — 无需认证即可重置管理员密码

HPE已修补CVE-2026-23813,这是Aruba Networking AOS-CX操作系统中的关键认证绕过漏洞,允许未经认证的远程攻击者重置CX系列园区和数据中心交换机的管理员密码

该漏洞存在于基于Web的管理界面中,仅需低复杂度攻击即可利用。任何运行HPE AOS-CX交换机且管理界面暴露的组织都面临直接风险。

延迟修补时的缓解措施:

  • 将管理界面隔离到专用VLAN
  • 在第3层及以上实施严格的管理流量访问控制
  • 在不需要管理访问的SVI和路由端口上禁用HTTP(S)接口
  • 在REST/HTTP管理端点上执行控制平面ACL

6. APT28对乌克兰军队部署BEARDSHELL和COVENANT

俄罗斯的APT28(Fancy Bear / GRU 26165部队)继续其针对乌克兰的网络间谍活动,自2024年4月以来部署两个植入程序——BEARDSHELLCOVENANT——对乌克兰军事人员进行长期监控。

ESET报告称其武器库还包括SLIMAGENT,具有键盘记录、截屏和剪贴板数据收集功能。该活动突显了俄乌冲突的持续网络维度以及对军事通信的持续针对。


7. Zombie ZIP技术逃避安全工具

一种名为"Zombie ZIP"的新技术允许攻击者在特制的压缩文件中隐藏恶意有效载荷,绕过杀毒软件和EDR检测。该技术利用安全工具和合法存档软件解析ZIP文件方式的差异,创建恶意软件可以通过的盲区。

所需行动:确保安全工具能够检查嵌套和格式错误的存档格式。考虑在将所有压缩文件附件交付给终端用户之前进行沙箱处理。


8. CISA:Ivanti EPM漏洞正在被积极利用

CISA在确认野外活跃利用后,已将最近修补的Ivanti Endpoint Manager (EPM)漏洞添加到其已知被利用漏洞(KEV)目录中。运行Ivanti EPM的组织必须立即优先修补。

Ivanti漏洞被快速武器化的模式继续存在——这是从披露到利用仅需数天的一系列关键Ivanti漏洞中的最新一个。


9. BeatBanker安卓恶意软件伪装为Starlink应用

一种名为BeatBanker的新型安卓银行木马通过伪造的Google Play商店网站分发,伪装成Starlink应用程序。安装后,该恶意软件劫持设备以拦截银行凭证和金融交易。

所需行动:仅从官方Google Play商店安装应用。启用Google Play Protect。教育用户关于虚假应用商店。


10. Microsoft Entra Passkey支持Windows

积极消息方面,微软正在Windows设备上推出Microsoft Entra的密钥支持,通过Windows Hello实现抗钓鱼的无密码认证。这是消除基于密码攻击的重要一步——组织应开始规划Entra密钥部署。


更多头条

事件影响
朝鲜UNC4899入侵加密公司木马化AirDrop文件 + 云原生技术窃取数百万加密货币
Windows 10 KB5078885 ESU发布Windows 10扩展安全更新修复3月补丁星期二漏洞,包括2个零日
恶意npm包冒充OpenClaw包部署RAT并窃取macOS凭证、SSH密钥、加密钱包和iMessage历史

KENSAI如何保护您

边缘设备监控 — 在攻击者深入之前检测被入侵的FortiGate、华硕和HPE设备

补丁情报 — 在披露后数小时内为Microsoft、Ivanti和网络基础设施提供优先CVE跟踪

EDR完整性检查 — 识别BlackSanta式的终端安全配置篡改

AI安全态势 — 监控Copilot和AI代理权限,防止CVE-2026-26144等数据泄露向量


建议行动

  1. 立即:将FortiGate更新到最新固件。部署微软2026年3月补丁。更新HPE AOS-CX交换机。
  2. 今天:检查华硕路由器是否有KadNap指标。轮换所有FortiGate连接的服务账户凭证。审查Copilot代理网络出口设置。
  3. 本周:在邮件网关封锁ISO附件。审计Ivanti EPM部署。规划Entra密钥推出。
  4. 持续:监控EDR篡改模式。向HR团队简报简历主题钓鱼。为网络设备管理实施零信任。

使用KENSAI保护您的组织

AI驱动的漏洞扫描和持续安全监控。立即开始免费扫描。

开始免费扫描 →

保持安全。保持警惕。

🗡️ KENSAI安全团队

🛡️ 您的网站安全吗?

在攻击者之前发现漏洞。

免费扫描您的网站 →

All posts · Permalink